[Security Alert]CVE-2014-6271 可利用该漏洞完全控制目标并发起攻击

很久没见大家了

最近由于高三考试忙,没办法,看了下上次更新已经是9月6日的内容了,快月末了,本来想写点东西的,结果在Twitter发现了RedHat发布的新漏洞,看样子很紧急,在自己的服务器上试了试还真的躺枪了,赶忙修复,并分享给各位服务器圈的管理员!

新漏洞

今天又爆出漏洞了,CVE(Common Vulnerabilities and Exposures)编码:CVE-2014-6271

前往RedHat查看漏洞相关信息:https://access.redhat.com/security/cve/CVE-2014-6271

关于漏洞详细信息及检测方法,参见:https://access.redhat.com/articles/1200223

很久没见 Critical 的通告了,这次内容有关自带的 Bash ,建议各位站长立即修复!

昨天就接到死党的哭诉,说自己做数据库的 VPS 被人用这个漏洞给K了......

果断迅速更新阿~

CVE-2014-6271已确认被成功利用的软件及系统
所有安装GNU bash 版本小于或者等于4.3的Linux操作系统。  

漏洞描述
该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行。

检测方法

前往自己的vps(或独立主机),进入Bash,运行以下命令:

如果返回结果与下面给出的内容类似或者一致,请尽快参照下面给出的方法修补漏洞!

如果返回结果与下面给出的内容类似或者一致,证明您的系统未收到影响,可以继续使用

该修复不会有任何影响,如果你使用的脚本用以上方式定义环境变量,修复后脚本执行会报错。

修复

请您根据 Linux 版本选择您需要修复的命令, 为了防止意外情况发生,建议您执行命令前先对 Linux 服务器系统盘制作快照,万一出现升级影响服务器使用情况,可以通过回滚系统盘快照解决。

查询版本信息

如果你不知道你所用的服务器的发行版本,请按照以下命令查询:

查询linux内核版本相关信息,请用uname

类似结果:

Linux perf_ark 2.6.9-55.ELlargesmp #1 SMP Fri Apr 20 16:46:56 EDT 2007 x86_64 x86_64 x86_64 GNU/Linux

要查询提供商的内部版本相关信息,请看/proc/version

类似结果:

Linux version 2.6.9-55.ELlargesmp (brewbuilder@hs20-bc2-4.build.redhat.com) (gcc version 3.4.6 20060404 (Red Hat 3.4.6-3)) #1 SMP Fri Apr 20 16:46:56 EDT 2007

要查询提供商的发布版本相关信息,请看/etc/issue

类似结果:

Red Hat Enterprise Linux AS release 4 (Nahant Update 5)  Kernel \r on an \m

要全面的查询提供商的版本的相关发布信息,请用lsb_release

类似结果:

LSB Version:    :core-3.0-amd64:core-3.0-ia32:core-3.0-noarch:graphics-3.0-amd64:graphics-3.0-ia32:graphics-3.0-noarch

Distributor ID: RedHatEnterpriseAS
Description:    Red Hat Enterprise Linux AS release 4 (Nahant Update 5)
Release:        4
Codename:       NahantUpdate5

修复命令

CentOS:

Ubuntu:

Debian:  7.5 64&32 bit  在发布本文时此包仍未更新,请耐心等待

OpenSuse:

Aliyun Linux:

 

截止本文发稿,目前本站下属服务器未接到大规模攻击通知。

 

03 02 01

声明: 本文采用 BY-NC-SA 协议进行授权 | Deamwork
转载请注明转自《[Security Alert]CVE-2014-6271 可利用该漏洞完全控制目标并发起攻击
本文地址:https://www.deamwork.com/archives/security-alertcve-2014-6271.orz6

回复 (0)

› 尚无评论。

发表评论 修改评论取消编辑

允许使用的标签 - 您可以在评论中使用如下的 HTML 标签以及属性。

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <img src="" alt=""> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

 :mrgreen:  :|  :twisted:  :arrow:  8O  :)  :?  8-)  :evil:  :D  :idea:  :oops:  :P  :roll:  ;)  :cry:  :o  :lol:  :x  :(  :!:  :?:

欢迎来到Deamwork! o(∩_∩)o
X